大事になる前に見つかって良かった
TinderとFacebookのアカウントキットの脆弱性により、ユーザーの電話番号さえあればアカウントを乗っ取り、プライベートメッセージなどにアクセスできるようになっていたようです。
この脆弱性はセキュリティ研究者のAnand Prakashによって発見され、既にTinderとFacebookの両方で対処されました。
Tinderは最初のセットアップの際、ユーザー名とパスワードを作る代わりにアカウントキットを使うことで、電話番号だけでログインできるようになっていました。ユーザーが電話番号を入れると、確認コードが携帯メールに届くという仕組みです。
しかしPrakash氏は、このセットアップに脆弱性を発見し、他人のTinderアカウントにログインできたのです。一度ログインしてしまえば、プライベートメッセージを読むこともできるし、彼の代わりにスワイプすることもできてしまいました。
「アカウントツールに脆弱性があり、電話番号さえあれば、アタッカーはユーザーのアカウントキットに簡単にアクセスできてしまうのです。一度入れば、アタッカーはクッキーに含まれているアカウントキットのアクセストークンを入手できます」とPrakash氏はブログ投稿で説明します。そこから、アタッカーはアクセストークンを使って他人のTinderアカウントにログインできるのです。
「TinderのAPIは、アカウントキットから提供されるクライアントIDをチェックしていなかったのです。これにより、アカウントキットによって提供された他のアプリのアクセストークンを使ってユーザーのTinderアカウントを乗っ取ることができます」と彼は説明します。
幸いPrakash氏は、バグを発見したセキュリティ専門家に報酬を与える「バグ・バウンティ・プログラム」を通じて各会社に報告しました。
「私たちは即座に問題に対応しました。発見を報告してくれた研究者に感謝します」とFacebookのスポークスパーソンは米Gizmodoにコメントしました。Prakash氏によれば、Facebookは彼に5,000ドルを支払ったそうで、Tinderからも1,250ドルをもらったそうです。また、Tinderのスポークスパーソンからも以下のコメントが米Gizmodoに届きました。
セキュリティは我が社にとって最優先事項です。他の大手グローバルテック企業同様、私たちは自身のプラットフォームを守るために、多くのツールやシステムを活用しています。その一環として、バグ・バウンティ・プログラムを通じて世界中の才能あるセキュリティ専門家達と連携し、問題の可能性を即座に発見、解決しています。
Image: Getty
Source: Medium
Kate Conger - Gizmodo US[原文]
(scheme_a)